Il Gruppo Enel è stato colpito per la seconda volta quest’anno da un attacco ransomware: questa volta il gruppo criminal hacker NetWalker è riuscito a rubare circa 5 TB di dati e, usando la tecnica della doppia estorsione sempre più comune tra i criminal hacker, ha minacciato di renderli pubblici qualora non venisse pagato il riscatto di oltre 16 milioni di dollari (corrispondenti, nel momento in cui scriviamo, a 1.234,02380000 Bitcoin).
Sul Dark Web, infatti, nelle pagine di un sito onion collegato al gruppo hacker NetWalker, è apparsa una lunga lista di cartelle che sembrerebbero essere state trafugate dai server di Enel e nelle quali, nei prossimi giorni (i criminal hacker hanno dato una settimana di tempo per il pagamento del riscatto), potrebbero essere copiati i dati esfiltrati durante l’attacco e relativi ad alcune centrali elettriche della multinazionale dell’energia.
Il sito onion collegato al gruppo hacker NetWalker sul quale, come minacciato dagli stessi criminal hacker, verranno pubblicati i dati esfiltrati dai server Enel.
Ricordiamo che il Gruppo Enel è stato colpito già una volta quest’anno da un ransomware, lo scorso mese di giugno: in quel caso, il ransomware Snake/Ekans aveva tentato di crittografare gli archivi elettronici del colosso dell’energia causando disservizi, per un periodo di tempo limitato, alle attività di customer care.
A differenza di Snake/Ekans, però, il ransomware NetWalker non è nuovo agli esperti di cyber security. In particolare, secondo uno studio approfondito degli analisti di McAfee, si tratterebbe di un ransomware as a service, vale a dire che il malware può essere modificato da altri criminal hacker che superino un processo preventivo di valutazione.
Indice degli argomenti
La tipologia di dati coinvolti, ipotesi di data breach
Premesso che solo Enel sa, allo stato attuale, quali dati gli siano stati sottratti, secondo alcune fonti questi riguarderebbero cartelle contenenti:
- dati relativi alle centrali elettriche del Gruppo (in Italia e all’estero);
- una denominata “Dossier Impianti”;
- dati di natura aziendale.
Sul sito onion collegato al gruppo hacker NetWalker è apparsa una serie di screenshot in cui si vedono cartelle e file non criptati esfiltrati con molta probabilità durante il nuovo attacco a Enel.
Attacco ransomware a Enel: quale lezione per le aziende
Occorre sondare, a questo punto, se quanto accaduto a Enel posso configurarsi come un data breach secondo la normativa GDPR. Al momento non si hanno gli elementi concreti per una puntuale analisi, al riguardo.
Sarebbe da approfondire, ma non è questa la sede, anche la normativa prevista dalla Direttiva NIS in ordine alla notifica degli incidenti e relativamente agli Operatori di Servizi Essenziali (gli OSE, organizzazioni pubbliche o private che forniscono servizi essenziali per la società e l’economia nei settori della energia, bancario, trasporti, eccetera).
Come inoltre fa notare anche il gruppo di esperti di cyber security TG Soft in un tweet, Il Gruppo Enel sarà quasi certamente uno dei 150 soggetti della “lista segreta” protetta dal nuovo Perimetro di sicurezza cibernetica nazionale.
È evidente che Enel rappresenti un target di attacco significativamente appetibile essendo una infrastruttura critica per il Sistema Paese Italia. Come si atteggerà la multinazionale?
Certamente, quando si affronta un data breach occorre analizzare in dettaglio la tipologia, la quantità e qualità dei dati personali coinvolti.
Tutto dipenderà da quanto intercettato e dal sistema di sicurezza e di governance adottato dal Gruppo.
Non resta che attendere ulteriori sviluppi in merito, ammesso che ce ne saranno.
